Se si crittografa un dispositivo utilizzando un passcode, i dati memorizzati sul dispositivo non possono essere recuperati utilizzando il rilevamento forense.
E riguardo il passcode stesso? Anche quello è criptato?
Gli analisti legali possono semplicemente recuperare il passcode in forma autentica e utilizzarlo per decrittografare il resto del dispositivo?
Le specifiche del dispositivo sono molto importanti qui. In generale, tuttavia, (quando si parla di dispositivi che implementano meccanismi di crittografia ragionevolmente sicuri) quando si crittografa un dispositivo con una password, tale password non viene in effetti memorizzata da nessuna parte. Il processo standard è quello in cui la password, quando inserita, viene eseguita tramite una funzione di derivazione della chiave per creare in modo deterministico la chiave-chiave di crittografia, che viene quindi utilizzata per decrittografare la chiave di crittografia dei dati, generata casualmente dal dispositivo e ciò che viene effettivamente utilizzato per crittografare e decrittografare i dati sul dispositivo. Senza la chiave-chiave di crittografia, non è possibile decodificare la chiave di crittografia dei dati e non è possibile ripristinare i dati.
Esattamente l'opposto della tua domanda è vero ... per esempio prendi un dispositivo Windows. Il sistema operativo stesso ha un codice di accesso che impedisce l'accesso come utente / amministratore / ecc. Se si estrae il disco rigido dal dispositivo o si avvia in un diverso sistema operativo sul dispositivo, è possibile visualizzare tutti i dati sul disco senza l'ostacolo del sistema operativo che richiede l'autenticazione.
Per i volumi crittografati, la decrittografia non è possibile senza le chiavi coinvolte nella crittografia. Per i volumi crittografati, indovinare la password del sistema operativo e ottenerla per caso ha probabilità più elevate rispetto alla violazione della crittografia del disco.
Spero che risponda alle tue domande.
Non hai menzionato quale piattaforma, ma visto che hai usato il passcode, assumerò iOS. Altre piattaforme sono probabilmente simili.
Ci sono molti dettagli sulle funzioni di crittografia e sicurezza di iOS qui: link
In particolare:
In addition to unlocking the device, a passcode provides entropy for certain encryption keys.
...
(NSFileProtectionComplete): The class key is protected with a key derived from the user passcode and the device UID. Shortly after the user locks a device (10 seconds, if the Require Password setting is Immediately), the decrypted class key is discarded, rendering all data in this class inaccessible until the user enters the passcode again or unlocks the device using Touch ID.
In sostanza, il passcode viene utilizzato come chiave di decrittografia: se viene immesso il codice di accesso errato, la decrittografia fallirà. Se la decrittografia ha esito positivo, il passcode è valido.
Can forensic analysts simply retrieve the passcode in authentic form and use it to decrypt the rest of the device?
No, sarai in grado di decrittografare le altre chiavi solo conoscendo il passcode.
Inoltre, questo è un problema comune con la crittografia AES. Se si dispone della chiave AES, è possibile decrittografare ciò che è stato crittografato. In questo modo vengono utilizzate tecniche di crittografia alternative come Crittografia a curve ellittiche per proteggere la chiave AES.
Leggi altre domande sui tag encryption forensics